Streszczenie: Cyberspace is filled with increasing threats that challenge both individuals and organizations alike. Cybersecurity risks are constantly evolving, and many businesses fail to recognize the true extent of these dangers. For companies, this often leads to severe consequences, such as data breaches, financial losses, and damaged reputations. Effective cybersecurity management requires a comprehensive approach, combining technology, policies, and awareness. Many organizations focus primarily on technological solutions, but human errors and a lack of awareness are significant factors that contribute to the success of cyberattacks. Moreover, as cybercriminals become more sophisticated, traditional defensive measures are no longer sufficient. Organizations must continuously adapt and improve their cybersecurity strategies. One of the most critical components of a robust cybersecurity framework is the training and education of employees. As the first line of defense, employees must be equipped with the knowledge and tools to recognize potential threats and respond appropriately. This involves promoting a culture of security awareness, where cybersecurity is a shared responsibility. In addition to this, businesses must adopt a proactive approach to cybersecurity, integrating it into their overall risk management framework. This includes implementing advanced detection and response mechanisms, ensuring compliance with legal and regulatory requirements, and continuously assessing vulnerabilities.
Bezpieczeństwo cyfrowe to nie wyrafinowane firewalle, antywirusy na komputerach czy nawet CyberTarcza. Bezpieczeństwo w rozumieniu Orange Polska to ciągły proces, poprawianie istniejących rozwiązań i poszukiwanie nowych sposobów na ochronę. To rosnąca liczba profesjonalnych usług, to wreszcie budowa świadomości kolejnych grup użytkowników, również dzieci i młodzieży. Tak napisał we wstępie do najnowszego raportu CERT Orange Polska dotyczącego bezpieczeństwa Jean‑François Fallacher, prezes zarządu tej spółki telekomunikacyjnej, i trudno się z tym nie zgodzić.
W 2017 roku zagrożenia, na jakie byliśmy narażeni w cyfrowym świecie, wcale się nie zmniejszyły. Przeciwnie. Nadal spory odsetek internautów dawał się nabrać na coraz bardziej wyrafinowane zagrywki socjotechnicznie, zwłaszcza że przestępcy nieprzerwanie udoskonalają swój warsztat. Zazwyczaj, jak wynika z raportu CERT, przygotowują zgrabny phishing i przesyłają go do konkretnie sprofilowanej grupy ludzi. Jeśli będą chcieli się włamać do „namierzonej” firmy – zawsze znajdą w serwisie społecznościowym osobę na tyle nieostrożną, że da się ją tak sprofilować, aby kliknęła w przygotowanego specjalnie dla niej maila. Właśnie dlatego ochrona danych osobowych jest tak ważna.
Usługa ochrony w kontekście RODO
25 maja zaczęła w Polsce obowiązywać unijna dyrektywa dotycząca danych osobowych, znana pod nazwą RODO. Ujednolica ona przepisy między poszczególnymi państwami członkowskimi, przynosi nowe rozwiązania i wzmacnia dotychczasowe wymagania. Wprowadza też wiele uprawnień dla osób fizycznych i nowe obowiązki dla administratorów danych osobowych.
„W dobie przenoszenia wszystkich obszarów aktywności człowieka, a nawet biznesu, do internetu jestem przeciwna nadmiernemu regulowaniu życia w e‑świecie. Żaden przepis nie zmieni tego, że dane osobowe za naszą zgodą bardzo często stają się ogólnodostępne. Z drugiej strony żyjemy w określonych realiach i poziom niebezpieczeństw związanych z udostępnianiem informacji prywatnych oraz biznesowych powoduje duże zagrożenia oraz stymuluje do rozwijania się przestępczości – mówi wiceprezes Orange Polska Bożena Leśniewska. – Cyberprzestępca może z danymi osobowymi zrobić praktycznie wszystko, ujawnić, wykraść je, sprzedać, żądać okupu za ich nieujawnianie. Ustawa RODO obliguje firmy do tego, żeby postępowały z danymi ostrożnie i wykorzystywały je tylko do celów, dla jakich zostały zebrane. Tymczasem sami klienci, nieświadomie akceptując różnego rodzaju regulaminy, wyrażają zgodę na powszechne udostępnianie danych, tracąc nad nimi kontrolę. Już w momencie, kiedy akceptujemy ich udostępnienie przez strony trzecie (tak to się w regulaminach nazywa), pozwalamy firmie, która zażądała akceptacji regulaminu, udostępniać je komukolwiek. Właśnie dlatego dostajemy spam, e‑maile, telefony od nieznanych przedsiębiorstw, którym nigdy nie udostępnialiśmy żadnych informacji o sobie, a tym bardziej nie pozwalaliśmy na ich użycie”.
W sierpniu ubiegłego roku na portalach społecznościowych pojawił się nowy scam. Ofiara otrzymywała wiadomość od przyjaciela z linkiem do zdjęcia, które wyglądało, jakby zostało przerobione na film. Po próbie uruchomienia filmu, w zależności od tego, z jakiego systemu korzystała, prezentowane były jej fałszywe serwisy udające hostingi plików, które wyłudzały opłatę za pobranie lub obciążały pewną kwotą za przesłanie SMS premium.
Dwa miesiące wcześniej, w czerwcu, z jednego z polskich szpitali wyciekły dane 50 tysięcy pacjentów (m.in. takie informacje, jak: imię, nazwisko, PESEL, adres zamieszkania, grupa krwi, czy też wyniki niektórych badań, a w przypadku pracowników także dane dokumentów tożsamości czy kont bankowych). Pobrać je i wykorzystać do przestępstwa mógł każdy internauta, który trafił na adres serwera. Dostępu do nich nie strzegł żaden system uwierzytelnienia, a dane znajdowały się na ogólnie dostępnych serwerach. Wyposażony w takie dane przestępca może wziąć choćby pożyczkę czy kupić drogi sprzęt na raty.
Orange Polska jako jeden z ważniejszych graczy na rynku bezpieczeństwa, na poziomie funkcjonowania klientów na swoich stronach internetowych, proponuje usługę Web Aplication Protection, która w sposób ciągły monitoruje odwołania do aplikacji klienta w sieci. Z kolei E‑mail Protection chroni dane wysyłane pocztą elektroniczną i wiarygodność nadawcy między innymi przed popularną ostatnio metodą „na prezesa”. Polega ona na tym, że z adresu udającego e‑mail prezesa firmy do pracownika księgowości przychodzi wiadomość „proszę przelać 100 tysięcy złotych na konto nr xxx. Bardzo pilne”.
Na tym poziomie sieciowym fundamentalną usługą jest Orange Network Security, czyli ochrona zasobów informatycznych przed niepożądanym dostępem. Inna usługa, popularna głównie w instytucjach finansowych, to Orange Internet Protection lub DDoS Protection gwarantująca ciągłość dostępu do danych. Z kolei Malware Protection w trybie ciągłym monitoruje w sieci połączenia wchodzące i wychodzące, wykrywając złośliwe oprogramowanie, które mogłoby zostać nieświadomie pobrane przez pracowników i zainfekować wewnętrzny system.
Integrated Solutions, spółka z Grupy Orange, oferuje autorskie rozwiązanie chmurowe Flexible Engine razem z usługami doradztwa i audytu. Dla klientów wymagających większej prywatności, bezpieczeństwa i nieco innych rozwiązań powstało własne data center w Warszawie i Łodzi, jedno z najlepszych w Europie.
Ochrona młodych użytkowników
Według badania przeprowadzonego w ramach kampanii społecznej „Mama, tata, tablet” ponad 40% dzieci rocznych i dwuletnich niemal codziennie ma styczność z tabletem czy smartfonem. GUS podaje, że 90% dzieci w wieku 5–15 lat korzysta z komputera, a blisko połowa z nich ma własny smartfon, a z danych raportu Światowego Forum Ekonomicznego, opublikowanego w 2016 roku, wynika, że 65% dzieci rozpoczynających dziś naukę w szkołach podstawowych będzie w przyszłości pracować w zawodach związanych głównie z nowymi technologiami, cyfryzacją i sztuczną inteligencją, co wymaga zmian w sposobie kształcenia.
Zespół CERT Orange Polska w ubiegłym roku zablokował ponad 100 milionów wejść na strony związane ze złośliwym oprogramowaniem, spamem i phishingiem.
Wniosek nasuwa się oczywisty – dzieci należy oswoić z technologią, nauczyć mądrego i bezpiecznego korzystania, przy czym odpowiedzialność za bezpieczeństwo spada na rodziców i wychowawców. Dorośli powinni uświadomić swoim pociechom, do czego może prowadzić niefrasobliwość w internecie, i monitorować ich zachowanie. Szczególnie ważny jest monitoring sieci społecznościowych – otwartych i zamkniętych. Dla wielu młodych ludzi takie platformy są istotną częścią ich życia, miejscem, skąd czerpią informacje, gdzie nawiązują i kontynuują znajomości. A skoro tak – są też dobrym „terenem łowieckim” dla cyberprzestępców. Dane są zatrważające. Zespół CERT Orange Polska w ubiegłym roku zablokował ponad 100 milionów wejść na strony związane ze złośliwym oprogramowaniem, spamem i phishingiem, niemal 16 milionów prób wejść na strony pornograficzne, aby powstrzymać 1374 dzieci przed wejściem na strony o treściach pedofilskich.
? ? ?
Podnoszenie kompetencji cyfrowych oraz edukacja w zakresie mądrego i bezpiecznego wykorzystania nowych technologii są ważne w każdym wieku. Temu służą m.in. programy Fundacji Orange, np. MegaMisja, czy lekcje na temat bezpieczeństwa prowadzone w szkołach przez wolontariuszy. W programie #SuperKoderzy na lekcjach, takich jak język polski, historia, języki obce, matematyka czy przyroda, dzieci zamieniają się w cyfrowych dziennikarzy, poszukiwaczy skarbów czy tworzących roboty młodych odkrywców. Z kolei w Pracowniach Orange pierwsze kroki w sieci stawiają też seniorzy. Wszyscy internauci mogą śledzić aktualne informacje dotyczące bezpieczeństwa na stronach CERT Orange Polska (rocznie około 300 tysięcy odwiedzin i ta liczba stale rośnie), a od lutego są one także na Twitterze (jest już ponad 300 obserwujących).
